Autoren-Beiträge Krisenkommunikation Wie die Unternehmenskommunikation mit Cyberangriffen umgehen sollte

Details

Im Juni 2024 meldete ein deutscher Serviettenhersteller Insolvenz an. Der Grund: ein Cyberangriff. Im April 2025 dasselbe bei einem deutschen Recyclingunternehmen. Der praktische Blackout der kompletten IT ist mit einem Herzinfarkt vergleichbar. Wenn der Rettungswagen nicht schnell da ist, hört das Herz endgültig auf zu schlagen. Der Unterschied zum menschlichen Herzinfarkt: Die Lebensverlängerung kann erkauft werden, wenn man die notwendigen Mittel dazu hat. 

Chat mit dem Erpresser: Im Darknet bedankt sich dieser höflich für die Zahlung des Lösegeldes. (Bild: ransomware.live / Annett Bergk)

Bemerkenswert ist aus kommunikativer Sicht, dass sich die Kommunikation von Unternehmen mit Hackergruppen öffentlich verfolgen lässt. Zwar ist der Firmenname anonymisiert, der Dialog ist jedoch komplett sichtbar – samt Ergebnis. Wurde bezahlt oder nicht? Fünf- oder sechsstellige Beträge? Manche Summen sind schwindelerregend hoch. 

„Wenn Sie uns 1,5 Mio. Dollar nicht sofort überweisen, werden alle Ihre vertraulichen Daten veröffentlicht.“ Was sich nach einer klassischen Szene aus einem Thriller anhört, ist im heutigen Digitalzeitalter einer der häufigsten Sätze, der den Start einer Cybererpressung ankündigt. Auf der Website www.ransomware.live sind entsprechende Chatverläufe einzusehen, in denen die Hacker ihre Forderungen in perfektem Englisch (vermutlich dank ChatGPT oder DeepL) stellen. Kurios: Bei erfolgter Überweisung über Bitcoins bedanken sich einzelne Hackergruppen sehr höflich für die erfolgreiche Transaktion. 

Cyberkrise: Zahlreiche deutsche Unternehmen betroffen

Wer wissen will, welche deutschen Unternehmen Ziel einer Cyberattacke wurden, gibt in die Suchmaske einfach „Germany“ ein. Die Liste der betroffenen Unternehmen ist mittlerweile lang. Denn Cyberkrisen sind (leider) alltäglich geworden und werden es auch bleiben. Denn dank KI sind Attacken für die Angreifer nun deutlich günstiger umzusetzen, sodass auch kleinere Unternehmen als lohnende Ziele erscheinen.

Auch in Europa sind Cyberkrisen hochrelevant für die Unternehmenskommunikation. Krisenexpertinnen und -experten aus 18 europäischen Ländern bewerteten im Mai 2025 mehrheitlich Cyberkrisen als das Thema mit dem höchsten Krisenpotenzial für ihre Kunden. 11 von 18 im Crisis Communications Network Europe (CCNE) zusammengeschlossenen Agenturen (darunter Engel & Zimmermann aus Deutschland und Reputation Science aus der Schweiz) sehen dieses Thema vom Krisenpotenzial her noch vor wirtschaftlichen Krisen in Unternehmen (10 Nennungen), politischer Instabilität (7 Nennungen) und Zollkonflikten (7 Nennungen). 

Cyberattacke: Wie läuft sie ab? 

Wie verläuft eigentlich eine klassische Cyberattacke? Als Agentur, die bereits mit vielen Cyberkrisen zu tun hatte, erkennen wir immer dieselben Muster. Von einem Moment auf den anderen haben Mitarbeitende keinen Zugriff mehr auf Unternehmensdaten und E-Mails. Die Kommunikation ist nahezu vollständig zum Erliegen gekommen. Nur einige wenige Personen im Unternehmen bekommen von den Hackern den Hinweis übermittelt, dass Daten entwendet wurden, die nach Ablauf eines bestimmten Zeitraums im Darknet veröffentlicht werden.

Die Cyberkriminellen üben einen hohen Zeitdruck auf Unternehmen aus, um sie unter Stress zu setzen. Ihr Ziel: Rascher zu einem Ergebnis, sprich: einer Zahlung, zu kommen. Je länger verhandelt wird, desto schlechter wird erfahrungsgemäß für die Angreifer das erzielte Ergebnis. 

Die Hacker wissen dabei sehr genau, dass die Veröffentlichung von vulnerablen Daten einen erheblichen Vertrauensverlust bei Mitarbeitenden, Geschäftspartnern und Kunden auslöst und zu einer nachhaltigen Imageschädigung des Unternehmens führen kann. Daher stellen Cyberkrisen die Unternehmenskommunikation vor enorme Herausforderungen, weil sowohl Beschäftigte, Kunden (eines Webshops), Abonnenten von Newslettern, Lieferanten, Kapitalgeber und weitere Dritte betroffen sein können. 

Kommunikation: Welche Fragen in der Krise gestellt werden müssen

Bei einer Cyberkrise gilt Alarmstufe rot. Der Krisenstab ist in jedem Fall gefordert. Aus unserer Erfahrung als Krisenberater sind die wichtigsten Fragen zu Beginn der Cyberkrise diese:

  • Welche Unternehmensbereiche sind betroffen? 
  • Sind auch Produktionsbereiche betroffen?
  • Sind eventuell sensible Daten von Kunden oder Mitarbeitenden abgeflossen?
  • Tangiert die Cyberkrise alle Standorte des Unternehmens?
  • Wer ist aktuell arbeitsfähig?
  • Ist die Versicherung informiert?
  • Sind IT-Forensiker bereits eingebunden?
  • Zu welchem Datum stehen Gehaltszahlungen an? 
  • Ist das Unternehmen lieferfähig? 
  • Wie kann ich mit dem Unternehmen Kontakt aufnehmen? 
  • Ist das Unternehmen in der Lage, (Gehalts-)Zahlungen zu tätigen?
  • Sind Personen mit Handlungsvollmacht verfügbar?
  • Falls E-Mail-Accounts betroffen sind: Über welche Plattform tauscht sich der Krisenstab aus?

Aus Kommunikationssicht muss das Unternehmen extrem schnell sprechfähig sein und mit den involvierten Experten, darunter Datenschützerinnen, IT-Experten und Forensikerinnen, im Krisenstab effizient zusammenarbeiten. 

Der erste Schritt: Eine schriftliche Information für die Führungsverantwortlichen formulieren, die diese dann meist mündlich an ihr Team weitergeben können. Hintergrund: Zunächst tangiert die Krise erfahrungsgemäß alle Beschäftigten in der Verwaltung, da diese in der Regel nicht mehr auf E-Mails, Intranet und Unternehmensdaten zugreifen können.

Zweiter Schritt: Ein Statement für die Medien vorbereiten, das auf keinen Fall alarmistisch sein sollte. Man muss dabei im Hinterkopf haben, dass Cyberattacken in vielen Fällen öffentlich werden, da die Hackergruppen Teile von Daten im Darknet wie eine Trophäe präsentieren und IT-Newsportale diese Neuigkeiten gerne distribuieren.

Dritter Schritt: Ein Q&A-Dokument vorbereiten, jeweils zugeschnitten auf die betroffenen Stakeholder, die von der Attacke indirekt betroffen sind – von Lieferanten über Kunden bis zu den Beschäftigten. Deren häufigste Fragen lauten:

  • Warum bin ich nicht arbeitsfähig?
  • Sind wir Ziel einer Cyberattacke?
  • Werden wir erpresst?
  • Wie lange bin ich offline?
  • Kann mein Gehalt (rechtzeitig) überwiesen werden?
  • Was passiert, wenn wir keine Waren mehr ausliefern können?
  • Was sage ich den Kund:innen, wenn diese mich zu erreichen versuchen?
  • Wie schlimm kann sich die Cyberkrise auswirken?

Herzinfarkt: Prävention schützt 

Bei Szenarien wie dem Risiko eines IT-Herzinfarktes ist die Unternehmenskommunikation gut beraten, das Thema Prävention anzustoßen und zu begleiten. Das beginnt bei der Frage nach vorbereiteten Abläufen für den Worst Case, geht über die Frage nach Backup-Lösungen und endet bei der Frage, ob eine Police existiert, die Forensiker und IT-Experten im Krisenfall bereitstellt. 

Aus meiner Erfahrung spielen immer noch viele Unternehmen mit dem Feuer und bauen darauf, dass bekanntere (Marken-)Unternehmen attackiert werden. Das ist ein Trugschluss. Besser wäre es, den Krisenfall „Cyberkrise“ im Krisenstab durchzuspielen. Die daraus resultierenden Erkenntnisse fließen in die Aktualisierung der Kriseninfrastruktur (Ablaufdiagramme, Telefonlisten etc.) ein. Dabei sollten Kommunikationsverantwortliche darauf achten, dass diese Unterlagen bzw. auch das Krisen-Handbuch nicht nur auf Servern liegen, auf die im Worst Case niemand Zugriff hat, sondern auch physisch vorhanden sind.

Das CCNE ist ein Netzwerk europäischer, inhabergeführter Agenturen mit ausgewiesener Expertise in der Krisenkommunikation, die sich durch ihren nationalen Fokus und ihr Kundenengagement auszeichnen. Für ihre Kunden wollen die Mitglieder dadurch länderübergreifende Krisenfälle noch besser betreuen.

Zugriffe: 1713

Seitennavigation

PR-Journal weekly

Bitte geben Sie Ihre E-Mail-Adresse ein, um sich anzumelden.

Ich möchte aktuelle Informationen vom PR-Journal erhalten und willige in die Erhebung, Verarbeitung und Nutzung meiner personenbezogenen Daten gemäß der Datenschutzbelehrung ein.